大连开创信息服务外包行业个人信息保护新模式
文/ 牟楠
刚买房就接到装修公司的电话、刚买车就接到汽车美容的电话,刚考完试就接到不同学校的录取通知……这些问题都是由于个人信息泄露所引发的。随着近年来个人信息泄露事件的频频曝光,其产生的影响也越来越大,个人信息的泄露与保护已经成为当下的热点话题。今年10月21日,在大连召开的信息服务外包行业个人信息保护工作现场交流会上,工信部授予大连国内首个“信息服务外包行业个人信息保护试点城市”称号。个人信息保护对于信息服务外包行业意味着什么?作为全国试点的大连市在个人信息保护方面又有何新招?
大连成为信息服务外包行业个人信息保护试点城市
“安全”是信息服务外包的第一要务,其中个人信息保护又是信息服务外包发展的重要支撑体系。近年来欧盟、日本等国都制定了相应的法律和标准,对个人信息跨境处理(离岸外包)实行了严格的限制和管理,此举对信息服务外包行业的发展产生了重大影响。2005年,受日本实施“个人信息保护法”并开展相关认证制度(P-MARK)的影响,大连对日外包的增长速度由2005年的114.77%下降到2006年的55.56%。为了帮助企业跨过个人信息保护这一外包门槛,自2005年开始,在大连市信息产业局的指导下,大连软件行业协会在行业中开展了个人信息保护工作。这一行动很快得到了市场的积极反馈,2007年大连市外包增长率又上升为117.35%。2009年4月工信部有关领导在调研期间对大连的个人信息保护模式给予了高度评价。
为了更好的总结和推广大连市开展个人信息保护工作的经验,为发展信息服务外包创造良好政策环境,2009年10月21日,工业和信息化部在大连召开了“信息服务外包行业个人信息保护工作现场交流会”,全国十几个省和三十余个城市信息产业政府主管负责人参加了会议。工信部杨学山副部长在讲话中高度肯定了大连在开展个人信息保护工作中的成绩,归纳总结了大连工作的三个特点,即政府引导,标准先行,协会运作。在交流会上,工信部授予大连“信息服务外包行业个人信息保护试点城市”称号。北京市经信委俞慈声副主任说:“工信部召开的此次会议十分必要,也十分及时,对下一步各地开展工作具有重要的指导意义,我们也要学习大连,争做全国的个人信息保护试点城市”。可以说,大连的个人信息保护工作为我国信息服务外包行业个人信息保护工作开创了一个全新的模式。
四年磨一剑 构建个人信息保护标准和评价体系
标准是开展个人信息保护工作的基础。谈到大连个人信息保护标准的起草工作,大连软件行业协会常务副秘书长孙鹏感慨良多:“大连从2005年开始着手起草个人信息保护的相关标准,在工作的初期面对的是一无专业人才、二无相关经验的局面,大连所走的每一步都是摸着石头过河。”功夫不负有心人,经过四年多的努力,大连已经制定出一系列有关个人信息保护的标准。2006年3月,协会发布了《大连软件及信息服务业个人信息保护规范》试用版,2007年2月又发布了正式版;出台了《大连软件及信息服务业个人信息保护管理办法》、《大连软件及信息服务业个人信息保护评价规则》和《PIPA文件管理手册》;2007年6月发布辽宁省《软件及信息服务业个人信息保护规范》(DB21/T 1522-2007),这也是我国首个针对个人信息保护的地方行业标准;2008年6月辽宁省发布《个人信息保护规范》(DB21/T 1628-2008)标准版,该标准是我国首个针对全行业的个人信息保护的地方标准。除了标准以外,大连也在积极推动地方立法工作,目前大连市法制办已将《大连市软件与信息服务业个人信息保护管理办法》列入立法计划。
标准为企业建立个人信息保护体系提供一个参考,让企业知道如何做个人信息保护,但光有标准是不够的,还需要有一个统一的评价标准,为实行个人信息保护并达到一定标准的单位颁发证书和标志,让公众了解、让社会知道、让国际上认可这些在个人信息保护方面做得好的单位。国际上对我国有一定影响的认证主要有美国的BBOnLine隐私认证计划、美国TRUSTe 认证、日本的P-MARK认证等。大连软件行业协会依据标准制定的软件及信息服务业个人信息保护评价体系(PIPA)是我国最早的针对个人信息保护能力和水平的评价。2008年6月19日,大连软件行业协会与日本情报处理开发协会签订了PIPA与P-MARK的互认协议,互认方式也成为国际间个人信息保护合作的新模式。大连市软件和信息服务企业积极参与PIPA实施,先后有华信、海辉、简柏特等42家企业通过评价,获得个人信息保护评价合格证书。
政府引导 协会运作 将大连经验推广到全国
大连市信息产业局对于开展个人信息保护工作给予了大力的支持。大连市信息产业局江亲瑜局长在介绍大连经验时指出,“政府的强力支持是开展个人信息保护工作的首要保证,在体系的制定过程中,政府拨专款支持标准的研究和起草工作,出资邀请日本专家到大连进行培训。”为了鼓励更多的大连企业实施个人信息保护评价,大连市政府在2008年12月出台的《关于进一步促进软件和服务外包产业发展若干规定》,第二十八条明确提出“积极推行《个人信息安全保护规范》标准及其评价制度,由市专项资金全额补贴企业开展评价工作。企业如违反规范并造成后果,将暂停其享受本规定项下所有政策的权利”。也就是说,从今年起五年之内,政府给予实施个人信息保护评价的大连企业以评价费用全额补贴的支持,同时也规定如果企业出现违反个人信息保护规范的情况,将取消其享受《规定》中的其他优惠政策。
作为个人信息保护工作的实际操作者和推动者,大连软件行业协会为个人信息保护工作的顺利开展做了大量工作,建立了一整套组织体系和高素质的人才队伍。大连软件行业协会常务副秘书长孙鹏在介绍个人信息保护工作组织体系时说,“由行业专家、企业代表和政府官员等组成的个人信息保护工作委员会是体系的最高决策机构,由委员会对企业的评审结果做出最终决定,协会下设的PIPA办公室负责申请受理,组织评审等日常工作,现有几十人的高学历的评价员队伍也为高质量的完成企业评审工作提供了保证。”
大连软件行业协会正在与全国其它地区的软件行业协会就个人信息保护的推广及应用工作展开广泛的交流与合作,帮助各地企业提高个人信息保护能力,提高承接国际业务的竞争能力,迄今为止,已先后与杭州、沈阳、无锡等地的相关机构开展了合作。在大连召开的信息服务外包个人信息保护现场交流会是一个很好的交流平台,参会的各地市信息产业主管机构代表纷纷表示,希望能有更多的机会到大连来学习交流,将大连的经验带回到本地区推广实施。